Μια ομάδα κυβερνο-εγκληματιών έχει πρόσφατα δημιουργήσει μια πειστική κλωνοποιημένη έκδοση του επίσημου ιστότοπου της αρχής κυβερνοασφάλειας της Ουκρανίας, γνωστής ως CERT-UA, με σκοπό να απατήσει τους στόχους της ώστε να κατεβάσουν ένα επικίνδυνο εργαλείο απομακρυσμένης πρόσβασης (Remote Access Tool – RAT).
Καμπάνια Κυβερνοεπιθέσεων UAC-0255
Η συγκεκριμένη καμπάνια, η οποία παρακολουθείται με τον κωδικό αναγνώρισης UAC-0255, αξιοποίησε μια συνδυαστική προσέγγιση που περιλάμβανε την αποστολή ηλεκτρονικών μηνυμάτων ηλεκτρονικού ψαρέματος (phishing) και την κλωνοποίηση ενός κυβερνητικού ιστότοπου. Ο στόχος ήταν η διασπορά κακόβουλου λογισμικού σε υπολογιστές κυβερνητικών υπαλλήλων, ιατρικού προσωπικού, καθώς και επαγγελματιών από πολλές άλλες βιομηχανίες στην Ουκρανία.
Η επίθεση πραγματοποιήθηκε μεταξύ 26 και 27 Μαρτίου 2026, όταν ένας μεγάλος αριθμός οργανισμών άρχισε να λαμβάνει ηλεκτρονικά μηνύματα που φαίνονταν να προέρχονται από το CERT-UA, την εθνική ομάδα αντιμετώπισης επειγόντων περιστατικών στον τομέα της κυβερνοασφάλειας.
Τα Μηνύματα Φαίνονται Πειστικά
Τα μηνύματα αυτά υποδείκνυαν στους παραλήπτες να κατεβάσουν ένα αρχείο που ήταν προστατευμένο με κωδικό πρόσβασης, με ονόματα όπως “CERT_UA_protection_tool.zip” ή “protection_tool.zip”, από την πλατφόρμα κοινής χρήσης αρχείων Files.fm. Ο ισχυρισμός ήταν ότι το αρχείο περιλάμβανε ένα ειδικό εργαλείο ασφαλείας που απαιτούσε άμεση εγκατάσταση.
Οι στοχευμένες ομάδες περιλάμβαναν κυβερνητικές υπηρεσίες, ιατρικά κέντρα, εταιρείες ασφαλείας, εκπαιδευτικά ιδρύματα και χρηματοπιστωτικούς οργανισμούς.
Η Επιβεβαίωση της CERT-UA
Αναλυτές της CERT-UA επιβεβαίωσαν ότι το αρχείο που παρουσιαζόταν ως εργαλείο προστασίας ήταν, στην πραγματικότητα, κομμάτι κακόβουλου λογισμικού. Το εκτελέσιμο αρχείο που ήταν κρυμμένο μέσα σε αυτό αποδείχθηκε ότι ήταν το AGEWHEEZE, ένας Trojan απομακρυσμένης πρόσβασης με πλήρεις δυνατότητες, γραμμένος στη γλώσσα προγραμματισμού Go.
Η άμεση ανάλυση των κακόβουλων στοιχείων αποκάλυψε τον διακομιστή εντολών και ελέγχου (C2) σε μια διεύθυνση IP που φιλοξενείται από την γαλλική εταιρεία OVH, ενώ το περιστατικό είχε καταγραφεί επίσημα με το αναγνωριστικό CERT-UA#21075.
Προσομοίωση Νόμιμης Δραστηριότητας
Για να ενισχύσουν την πειστικότητα των μηνυμάτων, οι δράστες προσδιόρισαν και κατοχύρωσαν τον τομέα cert-ua[.]τεχνολογίας, δημιουργώντας έναν ψεύτικο ιστότοπο που αντέγραφε τον επίσημο ιστότοπο του CERT-UA στη διεύθυνση cert.gov.ua. Ο ιστότοπος περιλάμβανε συνδέσμους για λήψη και οδηγίες εγκατάστασης.
Εντυπωσιακό είναι ότι το πιστοποιητικό SSL του ψεύτικου ιστότοπου δημιουργήθηκε μόλις λίγες ώρες πριν την αποστολή των μηνυμάτων ηλεκτρονικού ταχυδρομείου. Ο ιστότοπος καταργήθηκε σύντομα μετά την ολοκλήρωση της καμπάνιας.
Στον πηγαίο κώδικα του ψεύτικου ιστότοπου, οι ερευνητές ανακάλυψαν ένα μήνυμα που έγραφε “With Love, CYBER SERP”, συνοδευόμενο από έναν σύνδεσμο προς ένα κανάλι Telegram. Στις 28 Μαρτίου 2026, η ομάδα δημοσίευσε ανάρτηση στο ίδιο κανάλι αναλαμβάνοντας την ευθύνη για την επίθεση, κάτι που οδήγησε στη δημιουργία του κωδικού παρακολούθησης UAC-0255.
Ο Αντίκτυπος της Επίθεσης
Η CERT-UA επιβεβαίωσε ότι η συνολική επίθεση δεν επεκτάθηκε εκτενώς, με μόλις έναν περιορισμένο αριθμό προσωπικών συσκευών που ανήκαν σε εκπαιδευτικά ιδρύματα να μολύνονται. Οι ομάδες ανταπόκρισης ενήργησαν άμεσα, παρέχοντας τεχνική βοήθεια και καθοδήγηση στους επηρεαζόμενους οργανισμούς.
Πώς εγκαθίσταται το AGEWHEEZE και παραμένει κρυφό
Μόλις το θύμα εκτελέσει το πρόγραμμα εγκατάστασης, το AGEWHEEZE τοποθετείται στο φάκελο AppData χρησιμοποιώντας διαδρομές όπως %APPDATA%\SysSvc\SysSvc.exe ή %APPDATA%\service\service.exe. Στη συνέχεια, το κακόβουλο λογισμικό εγγράφει καταχωρήσεις μητρώου στη διαδρομή HKCU\Software\Microsoft\Windows\CurrentVersion\Run και καταχωρεί προγραμματισμένες εργασίες με τα ονόματα “SvcHelper” και “CoreService”, εξασφαλίζοντας έτσι τη συνεχιζόμενη εκτελεστότητά του ακόμη και μετά την επανεκκίνηση του συστήματος.
Αυτές οι μέθοδοι επιμονής παρέχουν στον εισβολέα μια σταθερή βάση στο μολυσμένο σύστημα. Μετά την εγκατάσταση, το AGEWHEEZE συνδέεται με τον διακομιστή C2 μέσω της διεύθυνσης 54[.]36.237.92 χρησιμοποιώντας WebSockets για ζωντανή, αμφίδρομη επικοινωνία.
Το κακόβουλο λογισμικό διαθέτει εκτενέστατο σύνολο δυνατοτήτων, όπως η ικανότητα να τραβάει στιγμιότυπα οθόνης, να προσομοιώνει κλικ του ποντικιού, να διαχειρίζεται αρχεία και καταλόγους, να παραθέτει και να τερματίζει διεργασίες, καθώς και να εκτελεί εντολές τερματικού.
Επιχειρησιακή Στρατηγική Ασφαλείας
Είναι σημαντικό για τους οργανισμούς να εφαρμόσουν εργαλεία ελέγχου εφαρμογών, όπως το SRP ή το AppLocker, σε όλα τα τερματικά τους, προκειμένου να περιορίσουν την εκτέλεση μη εξουσιοδοτημένων εκτελέσιμων αρχείων. Η μείωση της συνολικής επιφάνειας επίθεσης και στα δύο επίπεδα, της περιμέτρου του δικτύου και των μεμονωμένων συσκευών, είναι εξίσου κρίσιμη.
Οι εργαζόμενοι θα πρέπει να είναι προσεκτικοί και να αντιμετωπίζουν κάθε απροσδόκητο email που προτρέπει σε λήψεις λογισμικού με αμφιβολία, ειδικά αν το μήνυμα ισχυρίζεται ότι προέρχεται από κυβερνητικό φορέα ή αξιόπιστη αρχή ασφαλείας στον κυβερνοχώρο.